WordPressで複数サイトの一括管理・バックアップを行うプラグイン「Modular DS (Modular Connector)」において、極めて深刻なセキュリティ上の問題が確認されました。影響を受けるのは、バージョン 2.5.2 までのすべてのバージョンです。
本脆弱性が悪用された場合、悪意のある第三者が管理者権限(Administrator)を不正に取得し、サイトの各種管理機能にアクセスできる可能性があります。
対策として、バージョン 2.6.0 以降への更新を強く推奨します。
脆弱性詳細
本脆弱性は、プラグインが外部からの接続リクエストを受け取る際の「本人確認」の仕組みに不備がありました。
具体的には、送られてきた認証データが正当なものであるかを確認する「署名検証」の処理が抜けていました。
その結果、攻撃者が偽造した認証データを使用することで、正規の管理者になりすまして接続できる状態となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような甚大な被害が想定されます。
管理者権限での不正操作
- 攻撃者が管理者権限で各種機能にアクセスする可能性があります。
機密情報の漏洩
- サイトの設定情報や、データベース情報などの重要情報が盗み出される恐れがあります。
被害発生の条件
- 攻撃者がインターネット経由で、特定の偽装データを送信するだけで被害が発生します。
- 管理者がログインしている必要や、特定の操作をする必要はありません。
技術的な詳細
本脆弱性は、API認証(JWT:JSON Web Token)およびリクエスト元の検証処理に問題がありました。
1. 署名検証の欠落
通信データが改ざんされていないことを証明する「電子署名(Signature)」の確認処理(hash_hmacによる検証など)が実装されていませんでした。
2. 検証の回避
接続元を判定する処理において、偽装可能な情報(User-Agentヘッダー等)に依存しており、容易に正規の通信に見せかけることが可能でした。
これらの不備により、パスワード等の秘密情報を知らなくても認証を突破できる状態でした。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を至急実施してください。
- プラグインの更新
- 直ちに、プラグインを対策バージョン(2.6.0 以降)へ更新してください。
- ※バージョン 2.5.2 にアップデート済みの方も、本脆弱性の影響を受けるため、再度更新が必要です。
- 被害確認
- WordPress管理画面にて、サイトの設定やユーザー情報に意図しない変更が加えられていないか確認してください。
- 「Modular DS」の連携設定や、バックアップ設定等が意図せず変更されていないか確認してください。
⇒ 不審な設定変更が確認された場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
Modular DS 2.5.2 までのバージョン
(Modular Connector)
脆弱性情報 (CVE-ID)
CVE-2026-23550 
(公開日 2026年1月14日 更新日 2026年1月14日)
CVE-2026-23800
(公開日 2026年1月16日 更新日 2026年1月16日)
脆弱性の深刻度 (CVSS v3)
基本値: 9.8 (緊急) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2026-23800 悪用確率 0.05% (上位83%) 2026年2月10日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Modular DS プラグインをご利用中のお客様には、
対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
